Hvor mange filer er eksponeret i disse åbne cloud-lagringsbuckets?

Der ligger i øjeblikket 19,6 milliarder filer frit tilgængelige på internettet fordelt på mere end 535.000 fejlkonfigurerede cloud-lagringsbuckets.

Hvad gør legitimations- og nøglefiler til den farligste type eksponerede data?

Disse filer indeholder ofte API-nøgler, adgangskoder og adgangstokens, der lader angribere autentificere direkte til beskyttede systemer uden avanceret hacking, hvilket potentielt giver adgang til databaser, cloud-infrastruktur og interne netværk.

Hvorfor er disse cloud-lagringsbuckets overhovedet offentligt tilgængelige?

De er efterladt åbne på grund af fejlkonfigurerede cloud-lagringsindstillinger, ofte forårsaget af standardindstillinger, forhastede udrulninger eller huller i cloud-sikkerhedsviden, og de ansvarlige organisationer er muligvis ikke engang klar over, at deres data er eksponeret.

Hvilken anden type følsomme data, ud over legitimationsoplysninger, blev fremhævet som en alvorlig risiko i rapporten?

Databaseudtræk blev nævnt som en separat, men lige så alvorlig risiko, der ofte indeholder brugeroptegnelser, adgangskoder, personlige oplysninger og transaktionsdata.

Er en lignende storskala-eksponering fra en enkelt fejlkonfiguration sket for nylig?

Ja, et fejlkonfigureret analysedashboard hos FTF Live eksponerede for nylig over 22 millioner videochatsessions, hvilket viser, hvordan en enkelt forglemmelse kan lække massive mængder følsomme data.

19,6 milliarder filer eksponeret i 535.000 åbne cloud-buckets

En ny rapport fra Mysterium VPN sætter et svimlende tal på et problem, sikkerhedsforskere har advaret om i årevis: 19,6 milliarder filer ligger lige nu frit tilgængelige på internettet, gemt i mere end 535.000 fejlkonfigurerede cloud-lagringsbuckets, der hverken kræver adgangskode, godkendelse eller hackingfærdigheder. Blandt disse filer er næsten 700.000 legitimations- og nøglefiler, som kan give en angriber direkte adgang til aktive systemer, databaser og intern infrastruktur.

Dette er ikke et brud i traditionel forstand. Ingen har behøvet at udnytte en sårbarhed eller opsnappe netværkstrafik. Dataene er simpelthen åbne – en konsekvens af cloud-lagringskonfigurationer, der er sat forkert, og som er blevet efterladt sådan.

Eksponeringens omfang: 19,6 milliarder filer, nul adgangskoder

Den blotte mængde af eksponerede data er svær at sætte i kontekst. Med 19,6 milliarder filer spredt over mere end en halv million lagringsbuckets repræsenterer dette et af de største dokumenterede tilfælde af fejlkonfigureret cloud-lagrings-eksponering, der nogensinde er kortlagt. Disse buckets findes på tværs af cloud-platforme, hvor organisationer i alle størrelser – fra enkeltudviklere til store virksomheder – gemmer applikationsdata, backups, logfiler og følsomme optegnelser.

Fejlkonfigureret cloud-lagring er ikke et nyt problem, men det omfang, der rapporteres her, tyder på, at det langtfra er løst. Standardindstillinger, forhastede udrulninger og huller i cloud-sikkerhedsviden bidrager alle til, at buckets efterlades offentligt læsbare. I mange tilfælde er de ansvarlige organisationer muligvis slet ikke klar over, at deres data er eksponeret.

Dette spejler mønstre set i andre højtprofilerede hændelser. Et fejlkonfigureret analysedashboard hos FTF Live efterlod for nylig over 22 millioner videochatsessions åbent tilgængelige, hvilket illustrerer, hvordan en enkelt infrastrukturmæssig forglemmelse kan eksponere følsomme data i massiv skala uden at noget aktivt angreb finder sted.

Hvorfor legitimations- og nøglefiler er den farligste lækage

Af de 19,6 milliarder eksponerede filer udgør de næsten 700.000 legitimations- og nøglefiler den mest højrisikokategori med bred margin. Disse filer indeholder ofte API-nøgler, databaseadgangskoder, private kryptografiske nøgler, SSH-legitimationsoplysninger og cloud-adgangstokens.

Når en angriber finder en legitimationsfil i en åben bucket, behøver de ikke at gøre noget teknisk avanceret derefter. De kan tage disse legitimationsoplysninger og autentificere direkte til de systemer, de beskytter. Det kan betyde læse- og skriveadgang til en produktionsdatabase, evnen til at starte cloud-infrastruktur på en andens konto, eller adgang til interne systemer, der ellers ville være fuldstændig utilgængelige.

Databaseudtræk udgør en separat, men lige så alvorlig risiko. Disse filer indeholder ofte brugeroptegnelser, hashede eller klartekstadgangskoder, personlige oplysninger og transaktionsdata. Et databaseudtræk fra en sundhedsudbyder, en finansiel platform eller et e-handelswebsted kan indeholde alt, hvad en angriber har brug for til at udføre identitetstyveri, kontoovertagelse eller afpresning.

Hvordan cloud-fejlkonfigurationer omgår selv VPN-beskyttede netværk

Et af de mere kontraintuitive aspekter ved denne type eksponering er, at den omgår mange af de sikkerhedskontroller, organisationer er afhængige af. VPN'er, firewalls og netværksadgangskontroller er designet til at beskytte trafik, der bevæger sig mellem systemer. Men når data gemmes i en offentlig cloud-bucket, bevæger de sig slet ikke gennem disse beskyttede netværk. De ligger på en placering, som enhver med en internetforbindelse kan nå.

Det betyder, at en angriber i et andet land, uden adgang til et virksomhedsnetværk og uden evne til at omgå en firewall, stadig kan hente indholdet af en eksponeret bucket ved at navigere direkte til dens offentlige URL. Dataene eksisterer i praksis uden for den perimeter, som de fleste organisatoriske sikkerhedsværktøjer er designet til at forsvare.

Derfor er fejlkonfigureret cloud-lagrings-eksponering blevet en af de mest effektive veje til dataindsamling for trusselsaktører. Der er intet angreb at opdage, ingen usædvanlig trafik at markere, og ingen indtrængen at efterforske. Fra infrastrukturens perspektiv ligner det at læse en åben bucket fuldstændig rutinetrafik.

Hvad organisationer og enkeltpersoner kan gøre lige nu

For organisationer, der håndterer cloud-lagring, er det mest presserende skridt en tilladelsesrevision. Hver lagerbucket bør gennemgås for at bekræfte, at den ikke er sat til offentlig adgang, medmindre der er en bevidst, dokumenteret årsag til det. Store cloud-udbydere, herunder AWS, Google Cloud og Azure, tilbyder alle værktøjer til at identificere buckets med for løse adgangstilladelser, og nogle tilbyder nu kontoindstillinger til at blokere al offentlig adgang som standard.

Ud over tilladelser er legitimationshygiejne ekstremt vigtig. Legitimations- og nøglefiler bør under ingen omstændigheder gemmes i cloud-lagringsbuckets. Hemmelighedshåndteringsværktøjer findes specifikt til at håndtere API-nøgler, tokens og legitimationsoplysninger sikkert og holde dem helt ude af fillagring.

For enkeltpersoner handler risikoen mindre om, hvad du kontrollerer, og mere om, hvad de organisationer, der har dine data, kontrollerer. De praktiske skridt er velkendte: Brug unikke, stærke adgangskoder til hver konto, så et legitimationsdump fra én tjeneste ikke kan låse andre op, aktivér multifaktorgodkendelse, hvor det tilbydes, og overvåg konti for usædvanlig aktivitet.

Mysterium VPN's resultater er en påmindelse om, at nogle af de mest betydningsfulde datasikkerhedsrisici slet ikke involverer sofistikerede angreb. De involverer almindelige administrative forglemmelser, der forbliver uopdagede i måneder eller år. At revidere cloud-lagringshygiejne er ikke glamourøst arbejde, men i det omfang, denne rapport beskriver, er det noget af det mest konsekvensrige sikkerhedsarbejde, en organisation kan udføre lige nu.